API 签名机制是怎样的？_问答-阿里云开发者社区

阿里云产品服务会对每个访问请求进行身份验证，所以无论您使用 HTTP 还是 HTTPS 协议提交请求，都需要在请求中包含签名（Signature）信息。
签名需要您在控制台 Access Key 管理页面获得 Access Key ID 和 Access Key Secret，进行对称加密来验证请求的发送者身份。其中，Access Key ID 用于标识访问者身份；Access Key Secret 是用于加密签名字符串和服务器端验证签名字符串的密钥，必须严格保密。
[backcolor=transparent]注意：阿里云提供了 Python、 Java、 PHP 和 C# 等语言的 SDK 及第三方 SDK，可以免去您对签名算法进行编码的麻烦。您可以从这里了解更多阿里云 SDK 的信息。

签名操作

您在访问时，需要按照下面的方法对请求进行签名处理。

构造规范化的请求字符串（Canonicalized Query String）。
按参数名进行排序。
按照参数名称的字典顺序对请求中所有的请求参数进行排序，包括“公共请求参数”（不包括 Signature 参数）和接口的自定义参数。

[backcolor=transparent]注意：当使用 GET 方法提交请求时，这些参数就是请求 URI 中的参数部分（即 URI 中“?”之后由“&”连接的部分）。
对参数名称和参数值进行 URL 编码。
名称和值要使用 UTF-8 字符集进行 URL 编码。URL 编码的规则如下：
- 字符 A~Z、a~z、0~9 以及字符“-”、“_”、“.”、“~”不编码；
- 其它字符编码成 %XY 的格式，其中 XY 是字符对应 ASCII 码的 16 进制表示。比如英文的双引号（”）对应的编码为 %22；
- 对于扩展的 UTF-8 字符，编码成 %XY%ZA… 的格式；
- 英文空格（）要编码成 %20，而不是加号（+）。

[backcolor=transparent]注意：一般支持URL编码的库（比如 Java 中的 java.net.URLEncoder）都是按照 “application/x-www-form-urlencoded”的 MIME 类型的规则进行编码的。实现时可以直接使用这类方式进行编码，把编码后的字符串中加号（+）替换成 %20、星号（*）替换成 %2A、%7E 替换回波浪号（~），即可得到上述规则描述的编码字符串。

对编码后的参数名称和值使用英文等号（=）进行连接。

按参数名称的字典顺序，把英文等号连接得到字符串依次使用 & 符号连接，即得到规范化请求字符串。

构造被签名字符串。
基于步骤 1 得到的规范化字符串构造用于计算签名的字符串，可参考如下规则：

[backcolor=transparent]其中：
- HTTPMethod 是提交请求用的 HTTP 方法，比如 GET。
- percentEncode(“/”) 是按照步骤 1.i 中描述的 URL 编码规则对字符 “/” 进行编码得到的值，即 %2F。
- percentEncode(CanonicalizedQueryString) 是对步骤 1 中构造的规范化请求字符串按步骤 1.ii 中描述的 URL 编码规则编码后得到的字符串。

计算 HMAC 值。
按照 RFC2104 的定义，使用步骤 2 得到的字符串计算签名 HMAC 值。